Informazioni sul proxy di autenticazione Cloud SQL

Questa pagina riassume il proxy di autenticazione Cloud SQL e descrive come utilizzarlo per stabilire connessioni autorizzate, criptate e sicure alle tue istanze.

Per istruzioni passo passo sull'utilizzo del proxy di autenticazione Cloud SQL, segui il link per il tuo ambiente:

• Guida rapida per l'utilizzo del proxy di autenticazione Cloud SQL
• Come connettersi utilizzando il proxy di autenticazione Cloud SQL
• Come connettersi utilizzando il proxy di autenticazione Cloud SQL da GKE

Non è necessario utilizzare il proxy di autenticazione Cloud SQL o configurare SSL per connettersi a Cloud SQL dall'ambiente standard di App Engine o dall'ambiente flessibile di App Engine.

Vantaggi del proxy di autenticazione Cloud SQL

Il proxy di autenticazione Cloud SQL è un connettore Cloud SQL che fornisce accesso sicuro alle tue istanze senza la necessità di reti autorizzate o di configurare SSL.

Il proxy di autenticazione Cloud SQL e altri connettori Cloud SQL offrono i seguenti vantaggi:

• Connessioni sicure:il proxy di autenticazione Cloud SQL cripta automaticamente il traffico verso e dal database utilizzando TLS 1.3 con la selezione della crittografia determinata dalle regole di Go. I certificati SSL vengono utilizzati per verificare le identità di client e server e sono indipendenti dai protocolli di database, quindi non dovrai gestirli.
• Autorizzazione di connessione più semplice:il proxy di autenticazione Cloud SQL utilizza le autorizzazioni IAM per controllare chi e cosa può connettersi alle tue istanze Cloud SQL. Pertanto, il proxy di autenticazione Cloud SQL gestisce l'autenticazione con Cloud SQL, eliminando la necessità di fornire indirizzi IP statici.
• Autenticazione database IAM. Se vuoi, il proxy di autenticazione Cloud SQL supporta un aggiornamento automatico dei token di accesso OAuth 2.0. Per informazioni su questa funzionalità, consulta Autenticazione IAM dei database Cloud SQL.

Il proxy di autenticazione Cloud SQL non fornisce un nuovo percorso di connettività, ma si basa sulla connettività IP esistente. Per connetterti a un'istanza Cloud SQL utilizzando l'IP privato, il proxy di autenticazione Cloud SQL deve trovarsi su una risorsa con accesso alla stessa rete VPC dell'istanza.

Limitazioni

Non puoi utilizzare il proxy di autenticazione Cloud SQL se utilizzi l'accesso sensibile al contesto e l'autenticazione del database IAM. Quando provi ad accedere all'istanza, l'autenticazione IAM non riesce.

Come funziona il proxy di autenticazione Cloud SQL

Il proxy di autenticazione Cloud SQL funziona con un client locale in esecuzione nell'ambiente locale. La tua applicazione comunica con il proxy di autenticazione Cloud SQL con il protocollo di database standard utilizzato dal tuo database.

Il proxy di autenticazione Cloud SQL utilizza un tunnel sicuro per comunicare con il processo complementare in esecuzione sul server. Ogni connessione stabilita tramite il proxy di autenticazione Cloud SQL crea una connessione all'istanza Cloud SQL.

Quando un'applicazione si connette al proxy di autenticazione Cloud SQL, verifica se è disponibile una connessione esistente tra l'applicazione e l'istanza Cloud SQL di destinazione. Se non esiste una connessione, chiama le API Cloud SQL Admin per ottenere un certificato SSL effimero e lo utilizza per connettersi a Cloud SQL. I certificati SSL effimeri scadono dopo circa un'ora. Il proxy di autenticazione Cloud SQL aggiorna questi certificati prima che scadano.

Il proxy di autenticazione Cloud SQL non fornisce il pool di connessioni, ma può essere accoppiato ad altri pool di connessioni per aumentare l'efficienza.

Il seguente diagramma mostra come il proxy di autenticazione Cloud SQL si connette a Cloud SQL:

Requisiti per l'utilizzo del proxy di autenticazione Cloud SQL

Per utilizzare il proxy di autenticazione Cloud SQL, devi soddisfare i seguenti requisiti:

• L'API Cloud SQL Admin deve essere abilitata.
• Devi fornire al proxy di autenticazione Cloud SQL le Trusted Cloud credenziali di autenticazione.
• Devi fornire al proxy di autenticazione Cloud SQL un account utente del database e una password validi.

• L'istanza deve avere un indirizzo IPv4 pubblico o essere configurata in modo da utilizzare un IP privato.

  L'indirizzo IP pubblico non deve essere accessibile da parte di nessun indirizzo esterno (non è necessario aggiungerlo come indirizzo di rete autorizzato).

Se l'istanza Cloud SQL a cui ti connetti utilizza un'autorità di certificazione (CA) condivisa per l'impostazione serverCaMode, sul lato client devi utilizzare il proxy di autenticazione Cloud SQL versione 2.13.0 o successive.

Se l'istanza Cloud SQL a cui ti connetti utilizza un'autorità di certificazione gestita dal cliente per l'impostazione serverCaMode, sul lato client devi utilizzare il proxy di autenticazione Cloud SQL versione 2.14.3 o successive.

Quando un'istanza utilizza l'opzione CA gestita dal cliente come modalità CA server, puoi configurare l'istanza con un nome DNS personalizzato. Fornisci il nome DNS personalizzato nel campo nome alternativo del soggetto (SAN) personalizzato del certificato del server.

Dopo aver configurato un nome DNS personalizzato per l'istanza, puoi connetterti all'istanza dai connettori di linguaggio Cloud SQL utilizzando il nome DNS.

Scarica e installa il proxy di autenticazione Cloud SQL

docker pull gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.17.1

Opzioni di avvio del proxy di autenticazione Cloud SQL

Quando avvii il proxy di autenticazione Cloud SQL, fornisci le seguenti informazioni:

• A quali istanze Cloud SQL stabilire le connessioni
• Dove ascolterà i dati provenienti dalla tua applicazione da inviare a Cloud SQL
• Dove troverà le credenziali che utilizzerà per autenticare la tua applicazione in Cloud SQL
• Se necessario, il tipo di indirizzo IP da utilizzare.

Le opzioni di avvio del proxy di autenticazione Cloud SQL che fornisci determinano se ascolterà su una porta TCP o su un socket Unix. Se è in ascolto su un socket Unix, crea il socket nella posizione che scegli, di solito la directory /cloudsql/. Per TCP, il proxy di autenticazione Cloud SQL rimane in ascolto su localhost per impostazione predefinita.

Esegui il file eseguibile cloud-sql-proxy con l'argomento --help per visualizzare l'elenco completo delle opzioni di avvio.

Puoi installare il proxy di autenticazione Cloud SQL ovunque nel tuo ambiente locale. La posizione dei binari del proxy di autenticazione Cloud SQL non influisce sulla posizione in cui rimane in ascolto dei dati della tua applicazione.

Per saperne di più su come avviare il proxy di autenticazione Cloud SQL, consulta Avvia il proxy di autenticazione Cloud SQL.

Utilizzare un account di servizio per l'autenticazione

Il proxy di autenticazione Cloud SQL richiede l'autenticazione come identità IAM Cloud SQL per autorizzare le connessioni a un'istanza Cloud SQL.

Il vantaggio di utilizzare un account di servizio per questo scopo è che puoi creare un file delle credenziali specifico per il proxy di autenticazione Cloud SQL, che è collegato in modo esplicito e permanente al proxy di autenticazione Cloud SQL finché è in esecuzione. Per questo motivo, l'utilizzo di un account di servizio è il metodo consigliato per le istanze di produzione non in esecuzione su un'istanza Compute Engine.

Il file delle credenziali può essere duplicato in un'immagine di sistema se devi richiamare il proxy di autenticazione Cloud SQL da più macchine.

Per utilizzare questo metodo, devi creare e gestire il file delle credenziali. Solo gli utenti con l'autorizzazione resourcemanager.projects.setIamPolicy (come i proprietari del progetto) possono creare il account di servizio. Se il tuo utenteTrusted Cloud non dispone di questa autorizzazione, devi chiedere a qualcun altro di creare il account di servizio per te o utilizzare un altro metodo per autenticare il proxy di autenticazione Cloud SQL.

Scopri come creare un service account.

Autorizzazioni richieste per i service account

Quando utilizzi un account di servizio per fornire le credenziali per il proxy di autenticazione Cloud SQL, devi crearlo con autorizzazioni sufficienti. Se utilizzi i ruoli Identity Access and Management (IAM) più granulari per gestire le autorizzazioni Cloud SQL, devi assegnare al account di servizio un ruolo che includa l'autorizzazione cloudsql.instances.connect. I ruoli Cloud SQL predefiniti che includono questa autorizzazione sono:

• Cloud SQL Client
• Cloud SQL Editor
• Cloud SQL Admin

Se utilizzi i ruoli di progetto legacy (Visualizzatore, Editor, Proprietario), l'account di servizio deve disporre almeno del ruolo Editor.

Mantieni aggiornato il proxy di autenticazione Cloud SQL

Di tanto in tanto, Google rilascia nuove versioni del proxy di autenticazione Cloud SQL. Puoi vedere la versione attuale controllando la pagina delle release di GitHub del proxy di autenticazione Cloud SQL. Le future release del proxy verranno annotate anche nel forum Google Gruppi Cloud SQL announce.

Utilizzo delle API

Il proxy di autenticazione Cloud SQL invia richieste all'API Cloud SQL Admin. Queste richieste vengono conteggiate ai fini della quota API per il tuo progetto.

L'utilizzo più elevato dell'API si verifica quando avvii il proxy di autenticazione Cloud SQL. Mentre il proxy di autenticazione Cloud SQL è in esecuzione, effettua due chiamate API all'ora per istanza connessa.

Parametri e flag del proxy di autenticazione Cloud SQL

Quando viene avviato, il proxy di autenticazione Cloud SQL accetta diversi flag e parametri. Queste opzioni determinano dove e come il proxy di autenticazione Cloud SQL crea i socket che utilizza per comunicare con Cloud SQL e come esegue l'autenticazione.

Per assistenza con le opzioni del proxy di autenticazione Cloud SQL, consulta le seguenti informazioni:

• Opzioni per l'autenticazione del proxy di autenticazione Cloud SQL
• Esempi di chiamate del proxy di autenticazione Cloud SQL
• Pagina GitHub del proxy di autenticazione Cloud SQL
• La guida del proxy di autenticazione Cloud SQL, visualizzata con ./cloud-sql-proxy --help

Utilizzare il proxy di autenticazione Cloud SQL in un ambiente di produzione

Quando utilizzi il proxy di autenticazione Cloud SQL in un ambiente di produzione, puoi eseguire alcuni passaggi per assicurarti che il proxy di autenticazione Cloud SQL fornisca la disponibilità richiesta per la tua applicazione.

Assicurati che il proxy di autenticazione Cloud SQL venga eseguito come servizio permanente

Se il processo del proxy di autenticazione Cloud SQL viene interrotto, tutte le connessioni esistenti tramite il proxy vengono interrotte e l'applicazione non può creare altre connessioni all'istanza Cloud SQL con il proxy di autenticazione Cloud SQL. Per evitare questo scenario, assicurati di eseguire il proxy di autenticazione Cloud SQL come servizio permanente, in modo che se il proxy di autenticazione Cloud SQL si chiude per qualsiasi motivo, venga riavviato automaticamente. Per farlo, puoi utilizzare un servizio come systemd, upstart o supervisor. Per il sistema operativo Windows, esegui il proxy di autenticazione Cloud SQL come servizio Windows. In generale, assicurati che il proxy di autenticazione Cloud SQL abbia gli stessi requisiti di uptime del processo dell'applicazione.

Quante copie del proxy di autenticazione Cloud SQL sono necessarie alla tua applicazione

Non è necessario creare un processo proxy per ogni processo applicativo; molti processi applicativi possono condividere un singolo processo proxy di autenticazione Cloud SQL. Esegui un processo client proxy di autenticazione Cloud SQL per workstation o macchina virtuale.

Se utilizzi lo scalabilità automatica per le macchine virtuali, assicurati che il proxy di autenticazione Cloud SQL sia incluso nella configurazione della macchina virtuale, in modo che ogni volta che viene avviata una nuova macchina virtuale, abbia il proprio processo del proxy di autenticazione Cloud SQL.

Spetta a te gestire il numero di connessioni richieste dalla tua applicazione, limitandole o raggruppandole. Il proxy di autenticazione Cloud SQL non impone limitazioni alle nuove frequenze di connessione o al conteggio delle connessioni permanenti.

Ridurre l'output del proxy di autenticazione Cloud SQL

Se devi ridurre le dimensioni del log del proxy di autenticazione Cloud SQL, puoi farlo impostando --quiet quando avvii il proxy di autenticazione Cloud SQL. Tieni presente, tuttavia, che in questo modo si riduce l'efficacia dell'output del proxy di autenticazione Cloud SQL nella diagnosi dei problemi di connessione.

In che modo il failover influisce sul proxy di autenticazione Cloud SQL

Se esegui il proxy di autenticazione Cloud SQL su un'istanza configurata per l'alta disponibilità e si verifica un failover, le connessioni tramite il proxy di autenticazione Cloud SQL vengono interessate allo stesso modo delle connessioni tramite IP: tutte le connessioni esistenti vengono perse e l'applicazione deve stabilire nuove connessioni. Tuttavia, non è richiesto alcun intervento manuale; l'applicazione può continuare a utilizzare le stesse stringhe di connessione di prima.

Mantieni aggiornata l'immagine Docker del proxy di autenticazione Cloud SQL

L'immagine Docker del proxy di autenticazione Cloud SQL si basa su una versione specifica del proxy di autenticazione Cloud SQL. Quando diventa disponibile una nuova versione del proxy di autenticazione Cloud SQL, esegui il pull della nuova versione dell'immagine Docker del proxy di autenticazione Cloud SQL per mantenere aggiornato il tuo ambiente. Puoi visualizzare la versione attuale del proxy di autenticazione Cloud SQL controllando la pagina delle release di GitHub del proxy di autenticazione Cloud SQL.

Come applicare l'utilizzo del proxy di autenticazione Cloud SQL

Puoi applicare l'utilizzo del proxy di autenticazione Cloud SQL nelle connessioni alle istanze Cloud SQL utilizzando ConnectorEnforcement. Con l'applicazione del connettore, le connessioni dirette al database vengono rifiutate.

Per utilizzare l'applicazione del connettore, utilizza il campo ConnectorEnforcement nell'API instances.

Se utilizzi un'istanza abilitata a Private Service Connect, esiste una limitazione. Se per l'istanza è abilitata l'applicazione del connettore, non puoi creare repliche di lettura per l'istanza. Allo stesso modo, se l'istanza ha repliche di lettura, non puoi abilitare l'applicazione del connettore per l'istanza.

Per saperne di più su come forzare l'utilizzo solo del proxy di autenticazione Cloud SQL o dei connettori dei linguaggi di Cloud SQL per connettersi a un'istanza, consulta Forzare l'utilizzo del proxy di autenticazione Cloud SQL.

Informazioni sull'operatore Cloud SQL Proxy

Cloud SQL Proxy Operator è un operatore Kubernetes open source che automatizza la connessione dei workload in un cluster GKE ai database Cloud SQL. L'operatore Cloud SQL Auth Proxy utilizza una risorsa personalizzata AuthProxyWorkload che specifica la configurazione del proxy di autenticazione Cloud SQL per un carico di lavoro specifico. L'operatore del proxy di autenticazione Cloud SQL legge questa risorsa e aggiunge un container del proxy di autenticazione Cloud SQL con la configurazione richiesta ai carichi di lavoro appropriati.

Quando installi l'operatore nel tuo cluster GKE e configuri i tuoi carichi di lavoro e le istanze Cloud SQL, l'operatore Cloud SQL Auth Proxy configura automaticamente Cloud SQL Auth Proxy e connette i carichi di lavoro GKE alle tue istanze Cloud SQL.

L'operatore del proxy di autenticazione Cloud SQL controlla anche lo stato del proxy di autenticazione Cloud SQL. Se il proxy di autenticazione Cloud SQL non riesce a connettersi, l'operatore del proxy di autenticazione Cloud SQL restituisce informazioni di debug e fornisce indicazioni per risolvere e riparare i problemi di configurazione comuni.

Per maggiori informazioni, consulta Connessione tramite l'operatore proxy Cloud SQL.

Passaggi successivi

• Scopri di più sul proxy di autenticazione Cloud SQL.